Actiepunten voor HR op privacygebied

Er is inmiddels al veel over geschreven en gesproken, maar de Algemene Verordening Gegevensbescherming (AVG) staat nu écht voor de deur. Per 25 mei 2018 wordt de Wet bescherming persoonsgegevens (Wbp) vervangen door de AVG. Nagenoeg iedere organisatie valt onder de AVG. Privacy raakt ook HR afdelingen. In deze update wordt een kort overzicht gegeven van de belangrijkste (arbeidsrechtelijke) wijzigingen en de actiepunten voor HR ter voorbereiding op de aanstaande AVG.

Uitgebreidere rechten medewerkers
De rechten van medewerkers aangaande de verwerking van hun persoonsgegevens worden uitgebreid. Het gaat daarbij niet alleen om vaste medewerkers, maar om alle werkzame personen binnen de organisatie. Persoonsgegevens zijn gegevens die direct of indirect zijn te herleiden tot een individu, denk aan NAW-gegevens, e-mailadressen, telefoonnummers, maar ook: gespreksverslagen, gegevens over ziekteverzuim, declaraties, foto’s, camerabeelden, tracking van bedrijfsauto’s en gegevens van sollicitanten.

Rechten als het recht op inzage, correctie en verwijdering uit de Wbp komen ook in de AVG weer terug. Daarnaast worden nieuwe rechten ingevoerd, het recht op dataportabiliteit is daarvan een voorbeeld. Medewerkers kunnen verzoeken om hun persoonsgegevens (beveiligd) over te zetten naar een andere organisatie middels een standaardformaat. Verder kunnen medewerkers verzoeken om een kopie van hun personeelsdossier. Ook wordt de wijze van het verkrijgen van geldige toestemming voor gegevensverwerking aangescherpt. Gegeven toestemming moet vrij, specifiek, geïnformeerd, ondubbelzinnig, actief en controleerbaar zijn. Het intrekken van toestemming moet bovendien net zo makkelijk zijn als het geven van toestemming.

Belangrijkste (nieuwe) verplichtingen werkgevers

- Data Protection Impact Assessment (DPIA)
Organisaties die gegevens verwerken waarbij een hoog risico voor de rechten en vrijheden van de betrokkenen kan spelen, zijn verplicht een DPIA uit te voeren. Dat is bijvoorbeeld het geval indien een organisatie op grote schaal bijzondere persoonsgegevens (o.a. gezondheidsgegevens) verwerkt. Met een DPIA kunnen vooraf de privacyrisico’s van een gegevensverwerking in kaart worden gebracht, waarna maatregelen kunnen worden genomen om de risico’s te beperken.

- Functionaris voor de gegevensbescherming (FG)
Overheidsinstanties en publieke organisaties (waaronder zorg- en onderwijsinstellingen, provincies en gemeenten) zijn verplicht een FG aan te stellen. Andere organisaties die een FG in huis dienen te hebben, zijn organisaties die stelselmatig bijzondere persoonsgegevens verwerken en waarvan dit een kernactiviteit is (bijvoorbeeld een ziekenhuis, verzekeraar of arbodienst) en organisaties die op grote schaal individuen observeren. Kort gezegd heeft de FG tot taak intern toezicht te houden op de verwerking van persoonsgegevens.

- Registratieplicht
De AVG bevat een registratieplicht voor alle verwerkingen van persoonsgegevens. Organisaties dienen (bijvoorbeeld in een privacyreglement) in kaart te brengen welke persoonsgegevens voor welk doel worden verwerkt, op welke grondslag en hoe lang ze worden bewaard. Ook is het belangrijk de afkomst van gegevens inzichtelijk te maken en met wie de gegevens worden gedeeld. In de AVG is een verantwoordingsplicht opgenomen, organisaties moeten kunnen aantonen dat zij voldoen aan de AVG. Een register van de verwerkingsactiviteiten is onderdeel van de verantwoordingsplicht en kan bovendien benodigd zijn als betrokkenen hun privacyrechten inroepen.

- Privacy by design en privacy by default
Privacy by design impliceert dat men bij het ontwerpen van producten/diensten al rekening houdt met de bescherming van persoonsgegevens.
Privacy by default betekent dat organisaties technische en organisatorische maatregelen moeten nemen om ervoor te zorgen, dat - als standaard - slechts persoonsgegevens worden verwerkt die noodzakelijk zijn voor het bereiken van een specifiek doel. De Autoriteit Persoonsgegevens geeft de volgende voorbeelden:

* bij het abonneren op een nieuwsbrief niet om meer gegevens vragen dan noodzakelijk;
* op een website het vakje ‘Ja, ik wil aanbiedingen ontvangen’ niet vooraf aanvinken.

- Verwerkersovereenkomsten
Het sluiten van een verwerkersovereenkomst (onder de Wbp: bewerkersovereenkomst) is noodzakelijk indien gegevensverwerking wordt uitbesteed aan derden (de verwerker). Denk aan een externe (salaris)administratie of een website host. De AVG stelt een aantal minimumvereisten aan de inhoud van een verwerkersovereenkomst:
* het soort persoonsgegevens en de categorieën van betrokkenen;
* afspraken over de duur van de verwerking;
* waarborgen ten aanzien van de vertrouwelijkheid;
* afspraken over datalekken;
* afspraken over het doel en de aard van de verwerking;
* afspraken over de vernietiging en de beveiliging van gegevens;
* de specifieke taken en verantwoordelijkheden van de verwerker en het risico in verband met de rechten en bevoegdheden van betrokkenen;
* afspraken over het ter beschikking stellen van persoonsgegevens in het kader van audits.

- Beveiliging
De beveiliging van persoonsgegevens is van groot belang. Dit geldt niet alleen op ICT-gebied voor wat betreft de digitale gegevens. Zorg ook dat kasten met bijvoorbeeld personeelsdossiers goed zijn afgesloten. Het niveau van beveiliging van persoonsgegevens moet zijn afgestemd op de mogelijke risico’s van gegevensverwerkingen voor betrokkenen.

- Instemming OR
Op grond van artikel 27 WOR heeft de OR instemmingsrecht over regelingen voor het verwerken van persoonsgegevens van medewerkers. Ook voor het uitvoeren van een DPIA kan instemming van de OR noodzakelijk zijn. Betrek de OR dus waar nodig bij de implementatie van de AVG en de gevolgen daarvan voor het personeel.

Indien een organisatie niet compliant is aan de AVG en dus niet op correcte wijze persoonsgegevens verwerkt, worden hoge boetes geriskeerd. De boetebevoegdheid van de Autoriteit Persoonsgegevens is in de AVG flink verruimd; de maximumboete na het van toepassing worden van de AVG bedraagt € 20 miljoen of 4% van de jaarlijkse wereldwijde omzet.

Bewustwording binnen de organisatie
De belangrijkste taak van HR in het kader van de voorbereiding op de AVG is misschien nog wel het klaarstomen en instrueren van de interne organisatie. Vergroting van het privacybewustzijn van de rest van de medewerkers verdient met name de aandacht. Het gedrag van medewerkers kan worden beïnvloed door hen (in begrijpelijke taal) wegwijs te maken in de nieuwe regels en hen te betrekken bij de veranderingen die de AVG binnen de organisatie met zich meebrengt. Plaats bijvoorbeeld regelmatig berichten op intranet over dit onderwerp, verspreid flyers, verzorg een workshop of zet het onderwerp in een vergadering of overleg op de agenda.

Neem voor meer informatie contact met ons op via: info@witberghoorn.nl of 040-2155240.